DIY router - firewall

[stringer bell]

Για pfSense ή άλλες διανομές Linux δεν μπορώ να εκφέρω γνώμη, καθώς δεν τα έχω δουλέψει εκτενώς.   

 

Πάντως το configuration του mikrotik που ποσταρε ο φίλος πιο πάνω είναι σα να βλέπω iptables σε linux με διαφορετικό κάπως συντακτικό. 

[Ledis]

Πάντως το configuration του mikrotik που ποσταρε ο φίλος πιο πάνω είναι σα να βλέπω iptables σε linux με διαφορετικό κάπως συντακτικό. 

 

Μα το RouterOS είναι βασισμένο στο linux v3.3.5 kernel.

[koufs]

@rfc

ευχαριστώ, θα το έχω υπόψην, όταν ξαναπιάσω το 951


@ledis

έχεις δίκιο για το XG
και πιθανότατα δεν το χρειάζομαι


αλλά ψάχνω να δω πόσο νόημα θα είχε σε ένα σπιτικό περιβάλλον,


αν τελικά το έστηνα θα αγόραζα ένα μικρό fanless barebone, θα κόστιζε παραπάνω από ένα καλό router, αλλά όχι πολύ (αν εξαιρέσεις τα mikrotik που αγοράζεις πολλές δυνατότητες σε τιμή χώμα)
για την ώρα, το δοκιμάζω αν βρω κάνα Σάββατο ελεύθερο σε ένα παλιό pc που κάθεται

θέλω να μάθω, αλλά ο χρόνος είναι περιορισμένος, ακόμη και με τις <σχετικά> έτοιμες λύσεις μαθαίνεις πολλά, στο δικό μου επίπεδο τουλάχιστον (αρχάριος)
 

[koufs]

επανέρχομαι στο θέμα,

 

χθες εγκατέστησα και πήρα μια πρώτη γεύση από το sophos UTM 9,

εντελώς διαφορετικό προίόν σε σχέση με το XG, αν και από την ίδια εταιρεία,

 

μιλάμε για ένα επαγγελματικό εργαλείο που απευθύνεται σε μεγάλες εταιρείες, που δίνεται δωρεάν για home χρήση με τον περιορισμό των 50 IPs τοπικά

πιθανότατα υπερβολή για home user , είναι σαν να θες να κάνεις αλλαγή λαδιών στο παπάκι, και να νοικιάζεις την ομάδα του Rossi για να το κάνει,

αλλά μιλάμε για ατελείωτο παιχνίδι και δυνατότητες

 

 

το ενδιαφέρον είναι η προσέγγιση στο θέμα firewall, με το που το στήνεις,

και χωρίς κανένα κανόνα firewall είναι τα πάντα κλειστά, μιλάμε τα ΠΑΝΤΑ, ούτε browsing δεν μπορείς να κάνεις,

 

αν θες βέβαια μπορείς να βάλεις κανόνα, οτιδήποτε από το LAN, να έχει πρόσβαση στον έξω κόσμο,

 

ή να βάλεις τα γενικά πχ επιτρέπεται το browsing, NTP, streaming video klp klp

 

αλλά αν έχεις όρεξη να στήσεις κάτι πραγματικά απόρθητο,

μπορείς να προχωρήσεις βήμα βήμα επιτρέποντας συγκεκριμένα services και εφαρμογές

 

 

περιμένω σχόλια και για άλλες διανομές firewall αν έχει δοκιμάσει κανείς

[koufs]

σήμερα παίζοντας ξανά μετά από τόσες μέρες με το UTM 9,

έκοψε επικοινωνία με το revsci.net,

και κοιτώντας από που προήλθε,

 

ανακάλυψα ότι είχα το ανεπιθύμητο cookie   "revsci.net" που επιτρέπει σε τρίτους πρόσβαση στη δραστηριότητα του browser,

δεν ξέρω αν θα το έπαιρνα χαμπάρι αλλοιώς

[koufs]

συνεχίζω τις δοκιμές,  μία -δύο φορές κάθε μήνα,

καταλήγω στο XG,   έχω αρχίσει να ψάχνω φθηνό mini pc με 2 intel nic  για μόνιμη εγκατάσταση,

 

θα προτιμούσα κάτι open source, αλλά δεν ξέρω αν θα έβρισκα αντίστοιχα δυνατό συνδυασμό ευκολίας και δυνατοτήτων

(πχ σήμερα που δοκίμαζα, εγώ ο άσχετος, μπόρεσα με 4-5 κλικ, να κόψω την πρόσβαση στο appstore από το τηλέφωνο, ενώ οι λοιπές εφαρμογές στο τηλέφωνο δουλεύανε κανονικά,

με την ίδια ευκολία, μπορείς να κόψεις συγκεκριμένες εφαρμογές ή ολόκληρες κατηγορίες εφαρμογών από την πρόσβαση στο ίντερνετ

πχ p2p, vpn, συγκεκριμένα παιχνίδια, viber κλπ)

[koufs]

 

και μερικά screenshots για να πάρετε μία ιδέα

 

 

[koufs]

και μερικά screenshots, από το web protection,

υπάρχουν  έτοιμες κατηγορίες από σάιτς, που μπορούμε να επεξεργαστούμε όπως θέλουμε,

όσον αφορά χρήστη, ώρες εφαρμογής, τι να κάνει, τύπους αρχείων κλπ

και να φτιάξουμε επιπλέον κατηγορίες , που θα βάλουμε στη συνέχεια στους κανόνες για το firewall,

αν δεν θέλουμε να ασχοληθολυμε υπάρχουν ένα σωρό έτοιμα profiles που μπορούμε αν θέλουμε να επεξεργαστούμε

 

[koufs]

στατιστικά από τον υπολογιστή του γιου μου για τις τελευταίες 2 ώρες

 

[koufs]

τελικά εγκατέστησα το XG σε miniPC,

είναι πλέον το ρούτερ μου (+firewall) και θα είναι μέχρι να βρω κάτι καλύτερο, κατά προτίμηση σε open source,

οποιεσδήποτε προτάσεις καλοδεχούμενες,

 

ευχάριστη έκπληξη η κατανάλωση του miniPC,

που είναι κατά κανόνα κάτω από 7 W

[alexstoubis]

Στις 9/27/2017 στις 11:05 ΜΜ, koufs είπε

Καλό φαίνεται αυτό στο λινκ, δεν το ήξερα, αλλά δεν κάνει για μένα. Δεν έχω τις γνώσεις ούτε το χρόνο να μπω τόσο βαθιά.

Ίσως όταν και αν βγω σε σύνταξη, ίσως κάτσω να μάθω για αυτά που μου φαίνονται αρκετά ενδιαφέροντα.....

Για την ώρα όπως είπα το παιχνίδι για μένα είναι το sophos XG, απίστευτες δυνατότητες, χωρίς να χρειάζεται να μπεις σε κονσόλα. Απλά με κανόνες που φτιάχνεις από drop menus και επιλογές.

Αξίζει να δοκιμάσετε και να παίξετε αν έχετε κάποιο παλιό pc με 2 nics ή κάποιο παλιό σκληρό.

Θα επανέλθω εν καιρώ με εντυπώσεις και ερωτήσεις.

Και μάλλον θα προσπαθήσω ν διοκιμάσω και καμμιά open source διανομή για firewall/router, είχα προσπαθήσει χωρίς επιτυχία να εγκαταστήσω το pfsense. Δεν ξέρω τι έφταιξε, αλλά εργότερα με το XG, διαπίστωσα ότι ήταν ελλατωματική η κάρτα δικτύου που είχα αγοράσει, και σούλευε μόνο στα 100 mbps, αλλοιώς κράσαρε το XG.

το pfsense θυμιζω οτι θελει 2 καρτες δικτυου... 

[koufs]

ναι, έτσι είναι,

και αυτό που έφτιαξα το ίδιο θέλει, τουλάχιστον 2 κάρτες δικτύου, αφού παίζει και το ρόλο ρούτερ, μία για WAN και μία για LAN,

το miniPC που πήρα έχει 4 πόρτες δικτύου, για την ώρα έχω 2 να κάθονται (ίσως χρησιμοποιήσω τη μία για να μπαίνω στην σελίδα του μόντεμ)

[IKARIWTHS]

Στη περιπτωση του barebone pc που τρεχει sophos η pfsense,αν δε κανω λαθος συνδεεις τη μια θυρα ethernet με το μοντεμ και την αλλη με το switch που μοιραζει το ιντερνετ.,με τις συσκευες που συνδεονται me wifi τι κανουμε?μενουν απροστατευτες ?

[koufs]

σωστά, η μία θύρα συνδέεται στο μόντεμ και η άλλη στο switch,

οι συσκευές με wifi επίσης προστατεύονται, αφού η κίνηση περνάει από το firewall-router

 

ο απλούστερος τρόπος είναι να συνδέσεις το access point στο switch

(αλλιώς πάνω στο barebone pc αν έχει και άλλες θύρες δικτύου, εμένα έχει 4,

επίσης δεν ξέρω στο sophos αν γίνεται, αλλά νομίζω γίνεται στο pfsense, να χρησιμοποιήσεις την εσωτερική κάρτα wifi)

 

αλλά επειδή πολλοί έχουν ξεχωριστό ap, γιατί βολεύει στην τοποθέτηση και έχει και επιπλέον καλύτερο σήμα και διάφορα πχ ac κλπ,

η απλούστερη λύση είναι κούμπωμα του ap στο switch

 

(είχα γράψει πως μπορούσα με το sophos, να αποκλείω συγκεκριμένες εφαρμογές από συγκεκριμένα κινητά, πχ viber, play store, app store κλπ )

 

Επεξ/σία 25 Φεβρουαρίου 2018 από koufs

[IKARIWTHS]

Καταλαβα ,αρα στο μοντεμ του οτε απλα απενεργοποιω wifi k dhcp συνδεω οτε μοντεμ με barebone pc και μετα το switch ανοιγω στο barebone  dhcp k  wifi και το δουλευω σαν AP-firewall-router ,αν δεν εχει wifi απλα αγοραζω ενα AP  και το συνδεω σε οποιαδηποτε θυρα του switch.

Ξεχασα κατι?